Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Autorisations pour la mémoire de l'agent
Si vous avez activé la mémoire pour votre agent et si vous chiffrez les sessions de l'agent à l'aide d'une clé gérée par le client, vous devez configurer la politique de clé suivante et les autorisations IAM de l'identité d'appel pour configurer votre clé gérée par le client.
Politique clé gérée par le client
Amazon Bedrock utilise ces autorisations pour générer des clés de données chiffrées, puis utilise les clés générées pour chiffrer la mémoire de l'agent. Amazon Bedrock a également besoin d'autorisations pour rechiffrer la clé de données générée dans différents contextes de chiffrement. Les autorisations de rechiffrement sont également utilisées lorsque la clé gérée par le client passe d'une clé gérée par le client à une autre clé détenue par le service. Pour plus d'informations, consultez la section Trousseau de clés hiérarchique.
Remplacez le $regionaccount-id, et ${caller-identity-role} par les valeurs appropriées.
{ "Version": "2012-10-17", { "Sid": "Allow access for bedrock to enable long term memory", "Effect": "Allow", "Principal": { "Service": [ "bedrock.amazonaws.com", ], }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Condition": { "StringEquals": { "aws:SourceAccount": "$account-id" }, "ArnLike": { "aws:SourceArn": "arn:aws:bedrock:$region:$account-id:agent-alias/*" } } "Resource": "*" }, { "Sid": "Allow the caller identity control plane permissions for long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:GenerateDataKeyWithoutPlainText", "kms:ReEncrypt*" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Allow the caller identity data plane permissions to decrypt long term memory", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::${account-id}:role/${caller-identity-role}" }, "Action": [ "kms:Decrypt" ], "Resource": "*", "Condition": { "StringLike": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*", "kms:ViaService": "bedrock.$region.amazonaws.com" } } } }
Autorisations IAM pour chiffrer et déchiffrer la mémoire de l'agent
Les autorisations IAM suivantes sont nécessaires pour que l'API des agents appelant l'identité puisse configurer la clé KMS pour les agents dont la mémoire est activée. Les agents Amazon Bedrock utilisent ces autorisations pour s'assurer que l'identité de l'appelant est autorisée à bénéficier des autorisations mentionnées dans la politique clé ci-dessus concernant les API destinées à gérer, former et déployer des modèles. Pour les API qui appellent des agents, l'agent Amazon Bedrock utilise les kms:Decrypt autorisations de l'identité de l'appelant pour déchiffrer la mémoire.
Remplacez le $regionaccount-id, et ${key-id} par les valeurs appropriées.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Bedrock agents control plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:GenerateDataKeyWithoutPlaintext", "kms:ReEncrypt*", ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } }, { "Sid": "Bedrock agents data plane long term memory permissions", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:$region:$account-id:key/$key-id", "Condition": { "StringEquals": { "kms:EncryptionContext:aws-crypto-ec:aws:bedrock:arn": "arn:aws:bedrock:${region}:${account-id}:agent-alias/*" } } } ] }}
